Jabber のエンドユーザ SAML SSO 向け ADFS 2.0 での Kerberos 設定例

ダウンロード オプション

  • PDF     (1.7 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (1.6 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (949.4 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2015 年 3 月 24 日
Document ID:118841

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

概要

このドキュメントでは、Active Directory フェデレーション サービス(ADFS)2.0 で Kerberos を設定する方法を説明します。

前提条件

要件

このドキュメントに特有の要件はありません。

使用するコンポーネント

このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

背景説明

End User Security Assertion Markup Language(SAML)シングル サインオン(SSO)を設定するには、Jabber がドメイン認証と連動できるよう End User SAML SSO を有効にするために、Kerberos を設定する必要があります。Kerberos を使用して SAML SSO を実装すると、すべてのアクセス許可とユーザ同期が Lightweight Directory Access Protocol(LDAP)で処理される一方、認証は Kerberos で管理されるようになります。Kerberos は、LDAP 対応インスタンスと併せて使用するよう意図された認証プロトコルです。

Active Directory ドメインに参加する Microsoft Windows および Macintosh マシン上では、ユーザはユーザ名やパスワードを入力することなくシームレスに Cisco Jabber にログインすることができ、ユーザにログイン画面が表示されることさえありません。コンピュータ上で Active Directory ドメインにログインしないユーザには、引き続き標準のログイン フォームが表示されます。

認証ではオペレーティング システムから渡される単一のトークンが使用されるため、リダイレクトの必要はありません。トークンは設定済みのキー ドメイン コントローラに照らし合わせて確認され、トークンが有効であればユーザがログインされます。 

コンフィギュレーション

ADFS 2.0 で Kerberos を設定する手順は以下のとおりです。

  1. マシンに Microsoft Windows Server 2008 R2 をインストールします。

  2. Active Directory ドメイン サービス(ADDS)と ADFS を同じマシンにインストールします。

  3. Microsoft Windows Server 2008 R2 がインストールされたマシンに、インターネット インフォメーション サービス(IIS)をインストールします。

  4. IIS 用の自己署名証明書を作成します。

  5. 自己署名証明書を IIS にインポートし、その自己署名証明書を HTTPS サーバ証明書として使用します。

  6. 別のマシンに Microsoft Windows 7 をインストールして、そのマシンをクライアントとして使用します。

    • ドメイン ネーム サーバ(DNS)を変更し、ADDS がインストールされているマシンを DNS とします。

    • このマシンを、ADDS のインストール時に作成したドメインに追加します。

      1. [Start]に移動します。
      2. [Computer]を右クリックします。
      3. [Properties] をクリックします。
      4. ウィンドウの右側にある [Change Settings]をクリックします。
      5. [Computer Name]タブをクリックします。
      6. [Change] をクリックします。
      7. 作成したドメインを追加します。



  7. Kerberos サービスが両方のマシンで生成されるかどうかを確認します。

    1. 管理者としてサーバ マシンにログインし、コマンド プロンプトを開きます。以下のコマンドを実行します。

      • cd \windows\System32
      • Klist tickets



    2. ドメイン ユーザとしてクライアント マシンにログインし、同じコマンドを実行します。



  8. ADDS がインストールされているマシンで、ADFS Kerberos ID を作成します。

    Microsoft Windows ドメインにログインしている Microsoft Windows 管理者(たとえば、Microsoft Windows ドメイン コントローラに <domainname>\administrator としてログインしているユーザ)が ADFS Kerberos ID を作成します。ADFS HTTP サービスには、サービス プリンシパル名(SPN)と呼ばれる Kerberos ID がHTTP/DNS_name_of_ADFS_server 形式で設定されてるはずです。

    この名前を、ADFS HTTP サーバ インスタンスを表す Active Directory ユーザにマッピングする必要があります。それには、Microsoft Windows の setspn ユーティリティを使用します。このユーティリティはデフォルトで Microsoft Windows 2008 Server で使用可能になっているはずです。

    手順
    • ADFS サーバの SPN を登録します。Active Directory ドメイン コントローラで、setspn コマンドを実行します。

      たとえば、ADFS ホストが adfs01.us.renovations.com で、Active Directory ドメインが US.RENOVATIONS.COM の場合、以下のコマンドを実行します。

         setspn -a HTTP/adfs01.us.renovations.com 
         
          
          
         setspn -a HTTP/adfs01


      ADFS サーバに通常はセキュア ソケット レイヤ(SSL)(つまり、HTTPS)でアクセスするとしても、SPN の HTTP/の部分は適用されます。

    • ADFS サーバの SPN が正しく作成されたことを確認するために、setspn コマンドを入力し、出力を表示します。

         setspn -L




  9. Microsoft Windows クライアントのブラウザ設定を構成します。

    1. 統合 Windows 認証を有効にするために、[Tools] > [Internet Options] > [Advanced]に移動します。

    2. [Enable Integrated Windows Authentication]チェックボックスをオンにします。



    3. [Tools] > [Internet Options] > [Security] > [Local intranet] > [Custom level...] に移動して、[Automatic logon only in Intranet zone] をオンにします。



    4. [Tools] > [Internet Options] > [Security] > [Local intranet] > [Sites] > [Advanced]に移動して、Intrusion Detection & Prevention(IDP)URL をローカル イントラネット サイトに追加します。

      注:[Local intranet] ダイアログボックスのすべてのチェックボックスをオンにして、[Advanced]タブをクリックします。





    5. [Tools] > [Security] > [Trusted sites] > [Sites]に移動して、CUCM ホスト名を [Trusted sites] に追加します。

確認

このセクションでは、使用されている認証(Kerberos 認証または NT LAN Manager(NTLM)認証)を確認する方法を説明します。

  1. クライアント マシンに Fiddler ツールをダウンロードしてインストールします。

  2. すべての Internet Explorer ウィンドウを閉じます。

  3. Fiddler ツールを実行し、[File] メニューの [Capture Traffic] オプションが有効であることを確認します。

    Fiddler は、クライアント マシンとサーバ間のパススルー プロキシとして機能し、すべてのトラフィックをリッスンします。Fiddler により、Internet Explorer 設定は一時的に以下のように変更されます。



  4. Internet Explorer を開いて顧客関係管理(CRM)サーバの URL を参照し、いくつかのリンクをクリックしてトラフィックを生成します。

  5. Fiddler のメイン ウィンドウに戻り、結果が 200(成功)となっているフレームのいずれかを選択します。



    認証タイプが NTLM の場合、以下のようにフレームの先頭に [Negotiate - NTLMSSP] と表示されます。

トラブルシュート

現在、この設定に関する特定のトラブルシューティング情報はありません。

TAC Authored

シスコ エンジニア提供

  • Raees Shaikh
    Cisco TAC Engineer.

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています